Jenkins Plugin 多個弱點 (2023-09-06)

high Nessus Plugin ID 180576

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點影響

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式版本受到多個弱點影響:

- Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f 及更舊版本在轉譯歷程記錄項目時,未限制 'name' 查詢參數,攻擊者可藉此讓 Jenkins 轉譯並非由此外掛程式建立的受操控設定歷程記錄。(CVE-2023-41930)

- Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f 及更舊版本未限制多個端點中的 'timestamp' 查詢參數,攻擊者可藉此刪除 Jenkins 控制器檔案系統上攻擊者指定的包含「history.xml 」檔案的目錄。
(CVE-2023-41932)

- Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f 及更舊版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2023-41933)

- Jenkins Azure AD Plugin 396.v86ce29279947 及更舊版本 (378.380.v545b_1154b_3fb_ 除外) 在檢查所提供和所預期的 CSRF 保護 nonce 是否相等時會使用非常數時間比較函式,這可能允許攻擊者使用統計方法取得有效的 nonce。
(CVE-2023-41935)

- Jenkins Google Login Plugin 1.7 及更舊版本在檢查所提供和所預期的權杖是否相等時會使用非常數時間比較函式,這可能允許攻擊者使用統計方法取得有效權杖。(CVE-2023-41936)

- Jenkins Bitbucket Push and Pull Request Plugin 2.4.0 至 2.8.3 (兩者皆含) 信任 webhook 承載中提供的值 (包括特定 URL),並會使用設定的 Bitbucket 憑證連線至這些 URL,攻擊者可藉由傳送特製的 webhook 承載來擷取 Jenkins 中儲存的 Bitbucket 憑證。(CVE-2023-41937)

- Apache Software Foundation Apache Ivy 中存在不當限制 XML 外部實體參照弱點,即 XML 插入 (又名盲目式 XPath 插入) 弱點。此問題會影響 2.5.2 之前的所有 Apache Ivy 版本。2.5.2 版之前的 Apache Ivy 在剖析 XML 檔案 (其本身的組態、Ivy 檔案或 Apache Maven POM) 時,將允許下載外部文件類型定義,並在使用時展開其中包含的任何實體參照。該弱點可用於洩漏資料、存取僅執行 Ivy 的機器可存取的資源,或以不同方式乾擾 Ivy 的執行。從 Ivy 2.5.2 版開始,DTD 處理會依預設停用,剖析 Maven POM 時除外,預設的行為是允許 DTD 處理,但僅包含 Ivy 隨附的 DTD 程式碼片段,該片段是處理現有 Maven POM 所必需的片段,但其不是有效的 XML 檔案,不過仍會被 Maven 接受 。必要時,可透過新引入的系統內容,使存取權更寬鬆。2.5.2 版之前的 Ivy 使用者可使用 Java 系統屬性來限制外部 DTD 的處理,詳情請參閱《Oracle Java API for XML Processing (JAXP) 安全性指南》中關於外部存取 JAXP 屬性限制一節。
(CVE-2022-46751)

- Jenkins Ivy Plugin 2.5 及更舊版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此刪除已停用的模組。(CVE-2023-41938)

- Jenkins SSH2 Easy Plugin 1.4 及更舊版本未驗證設定為已授予的權限是否已啟用,這可能允許之前被授予權限 (通常是選用的權限,例如 Overall/Manage) 的使用者存取其不再擁有權限的功能。(CVE-2023-41939)

- Jenkins AWS CodeCommit Trigger Plugin 3.0.12 及更舊版本中存在跨網站要求偽造 (CSRF) 弱點,該弱點允許攻擊者清除 SQS 佇列。(CVE-2023-41942)

- Jenkins AWS CodeCommit Trigger Plugin 3.0.12 及更舊版本在轉譯錯誤訊息時,未逸出傳遞至表單驗證 URL 的佇列名稱參數,進而導致 HTML 插入弱點。
(CVE-2023-41944)

- Jenkins Assembla Auth Plugin 1.14 及更舊版本未驗證其授予的權限是否已啟用,導致具有 EDIT 權限的使用者獲得 Overall/Manage 和 Overall/SystemRead 權限,即使這些權限已停用且不應授予也是如此。(CVE-2023-41945)

- Jenkins Frugal Testing Plugin 1.1 及更舊版本中存在跨網站要求偽造 (CSRF) 弱點,此弱點允許攻擊者使用攻擊者指定的憑證連線至 Frugal Testing,並從 Frugal Testing 擷取測試 ID 與名稱,但前提是有效憑證對應於攻擊者指定的使用者名稱。
(CVE-2023-41946)

- Jenkins Frugal Testing Plugin 1.1 及更舊版本中存在缺少權限檢查弱點,此弱點允許具有「Overall/Read」權限的攻擊者使用其指定的憑證連線至 Frugal Testing。
(CVE-2023-41947)

- 透過路徑遊走可以利用 Job Configuration History Plugin 中的 XSS 弱點 (CVE-2023-41931)

- Pipeline Maven Integration Plugin 中的憑證遮罩不當 (CVE-2023-41934)

- TAP Plugin 中的儲存式 XSS 弱點 (CVE-2023-41940)

- AWS CodeCommit Trigger Plugin 中缺少權限檢查,因而允許列舉憑證 ID (CVE-2023-41941)

- AWS CodeCommit Trigger Plugin 中存在 CSRF 弱點並且缺少權限檢查 (CVE-2023-41943)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Jenkins 外掛程式升級至下列版本:
- Assembla Auth Plugin:請參閱廠商公告
- AWS CodeCommit Trigger Plugin:請參閱廠商公告
- Azure AD Plugin:請參閱廠商公告
- 將 Bitbucket Push and Pull Request Plugin 升級至 2.8.4 或更新版本
- Frugal Testing Plugin:請參閱廠商公告
- 將 Google Login Plugin 升級至 1.8 或更新版本
- Ivy Plugin:請參閱廠商公告
- 將 Job Configuration History Plugin 升級至 1229.v3039470161a_d 或更新版本
- 將 Pipeline Maven Integration Plugin 升級至 1331.v003efa_fd6e81 或更新版本
- 將 Qualys Container Scanning Connector Plugin 升級至 1.6.2.7 或更新版本
- 將 SSH2 Easy Plugin 升級至 1.6 或更新版本
- TAP Plugin:請參閱廠商公告

請參閱供應商公告以取得詳細資料。

另請參閱

https://jenkins.io/security/advisory/2023-09-06

Plugin 詳細資訊

嚴重性: High

ID: 180576

檔案名稱: jenkins_security_advisory_2023-09-06_plugins.nasl

版本: 1.5

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2023/9/7

已更新: 2024/10/3

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9

時間分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-41945

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/9/6

弱點發布日期: 2023/8/21

參考資訊

CVE: CVE-2022-46751, CVE-2023-41930, CVE-2023-41931, CVE-2023-41932, CVE-2023-41933, CVE-2023-41934, CVE-2023-41935, CVE-2023-41936, CVE-2023-41937, CVE-2023-41938, CVE-2023-41939, CVE-2023-41940, CVE-2023-41941, CVE-2023-41942, CVE-2023-41943, CVE-2023-41944, CVE-2023-41945, CVE-2023-41946, CVE-2023-41947